Hướng dẫn cài đặt và sử dụng plugin Sucuri Security để bảo mật WordPress.
Nếu bạn đang tìm kiếm một plugin thực sự hiệu quả giúp tăng cường khả năng bảo mật cho blog/ website WordPress của mình thì Sucuri Security là lựa chọn không thể bỏ qua. Được tạo ra bởi Sucuri.net, một trong những công ty bảo mật website hàng đầu thế giới, Sucuri Security hoàn hảo đối với người dùng trả phí và được đánh giá tốt đối với người dùng miễn phí. Nếu kinh phí của bạn hạn hẹp thì các tính năng miễn phí cũng đã đủ giúp blog/ website của bạn trở nên an toàn hơn rất nhiều rồi.
Riêng với bản thân tôi, tôi đánh giá Sucuri Security cao hơn những plugin như Wordfence Security hay iThemes Security bởi sự nhẹ nhàng (không tốn nhiều tài nguyên, không gây lỗi web) nhưng không kém phần hiệu quả.
Tham khảo thêm:
- Top 5 Security plugins tốt nhất cho WordPress
- Đâu là công cụ quét bảo mật tốt nhất dành cho WordPress?
Cài đặt và sử dụng plugin Sucuri Security
Những tính năng của plugin này vô cùng nhiều, trong một bài viết không thể gói gọn hết được. Nhưng nhìn chung, các bạn chỉ cần làm theo các bước đơn giản trong hướng dẫn sau đây.
1. Bước đầu tiên, hãy cài đặt và kích hoạt plugin Sucuri Security.
2. Một thông báo sẽ được hiện ra, yêu cầu bạn tạo API Key trước khi plugin có thể hoạt động. Hãy click vào nút Generate API Key.
3. Nếu bạn không sử dụng dịch vụ CloudProxy (trả phí) của Sucuri, hãy bỏ tick trong mục Enable DNS lookups on startup.
Click vào nút Proceed để tiến hành tạo API Key miễn phí.
4. Sau khi tạo API Key thành công, hãy click vào nút Settings để chuyển qua trang cài đặt.
Trong trang cài đặt, các bạn chú ý thiết lập 2 tab là Settings và Hardening là đủ. Những tính năng khác, nếu thích, các bạn có thể tự nghiên cứu thêm.
5. Đối với tab Settings.
Trong đó, kích hoạt (Enable) các mục:
- Failed Login Password Collector: thu thập dữ liệu về những lần đăng nhập thất bại.
- User Comment Monitor: thu thập dữ liệu bình luận, giúp chống bình luận spam.
- Audit Log Statistics: thu thập dữ liệu về lịch sử chỉnh sửa file.
Những mục còn lại các bạn có thể để mặc định.
6. Chuyển qua tab Hardening.
Chú ý kích hoạt (harden) các mục sau đây:
- Verify WordPress version: kiểm tra xem phiên bản WordPress bạn đang dùng đã phải là mới nhất chưa.
- Verify PHP version: kiểm tra xem phiên bản PHP mà bạn đang sử dụng đã phải là mới nhất chưa.
- Remove WordPress version: xóa thông tin phiên bản WordPress để tránh bị hacker lợi dụng, khai thác.
- Protect uploads directory: bảo vệ thư mục uploads.
- Restrict wp-content access: bảo vệ thư mục wp-content.
- Restrict wp-includes access: bảo vệ thư mục wp-include.
- Information leakage (readme.html): xóa file readme.html của WordPress.
- Default admin account: đổi tên đăng nhập WordPress, nếu bạn vẫn đang dùng tên mặc định là admin.
- Plugin & Theme editor: tắt tính năng cho phép chỉnh sửa file theme và plugin ngay trong WordPress Admin.
- Database table prefix: đổi prefix của database, nếu bạn vẫn đang dùng prefix mặc định là wp_.
Xong! Đơn giản vậy thôi. Chúc các bạn thành công!
Mọi thắc mắc và góp ý liên quan đến việc cài đặt plugin Sucuri Security xin vui lòng gửi vào khung bình luận bên dưới để được giải đáp.
Nếu bạn thích bài viết này, hãy subscribe blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất qua email nhé. Cảm ơn rất nhiều. :)
Cái Wordfence Security có vẻ nặng đối với những host yếu anh Hiếu ạ.
À mà cho em hỏi em cài BBQ rồi thì có nên cài Sucuri nữa không ạ?
Dùng 1 trong 2 thôi. :P
Em cảm one anh ạ. :D
Wordfence nặng mà. Nên mình không khuyên dùng. :P
Https cua ban khi truy cap hay bi lổi!
Chắc do Let’s Encrypt không tương thích với trình duyệt. Bạn đang sử dụng trình duyệt gì nhỉ? :P
Uc brower do ban!
Mình vừa đổi qua SSL của Comodo. Bạn kiểm tra xem còn lỗi nữa không? :)
Khi truy cap vao web cua ban thi no bi giật sau do nó báo eror phai bấm vao tải lại moi vao duoc.
Chắc là do cache chưa clear hết. :)
sao mình bấm tạo api key không được vậy ad.
Nó báo lỗi gì vậy bạn?
nó cứ bảo là chưa tạo api key dù mình bấm tạo nhiều lần.
Chuyển sang tab ẩn rồi tạo lại api bạn nhé
cảm ơn ad mình tạo được rồi,mình thấy có Security keys có nên tạo không hả ad.
Nếu trong file wp-config.php có rồi thì không cần phải tạo thêm bạn nhé. :P
Đã làm theo và thành công.Thank
tab hardening bấm vào revert hardening ha Hieu?
Bấm vào “Harden” bạn ạ. Chỗ nào nó hiện “Revert Hardening” thì không cần thao tác nữa. :P
mục Database table prefix của mình không nhấn “harden” vậy là thế nào bạn?
Cái này bạn chủ động thay. Phải chỉnh cả trong database lẫn file wp-config.php. :P
Cam on Hieu nhieu nhe!
P/s: Nếu bạn đã đổi prefix khác “wp_” rồi thì nút này sẽ không bấm được nữa. :P
Anh Hiếu cho em hỏi website của em xài Jetpack nó hiện lên cái “Blocked malicious login attempts”. Không biết có nguy hiểm gì cho website không anh Hiếu nhỉ, em cứ hoang mang nghĩ là đang bị hacker dòm ngó :(. Em nghĩ mới làm cái blog được có 1 2 tháng mà hacker gì cơ chứ :(. Lỗi nó như hình dưới đó anh, anh cho em lời tư vấn với.
http://sv1.upsieutoc.com/2016/11/26/1f37c3.jpg
Cái này là module Protect của Jetpack nó chặn các truy vấn nguy hiểm và trái phép đó mà. Đâu phải lỗi. Site của mình có cả trăm nghìn lượt. :P
Mình là dân ngoại đạo, mới nghe nói nghinx và apchace là khác nhau, không biết cái plugin bạn giới thiệu có xài cho nginx được ko, hỏi có gì không đúng mong bỏ qua
Cài được cho NginX bạn ạ. Tuy nhiên dùng không đầy đủ tính năng như đối với Apache. :P
Chào Trung Hiếu!
– Anh Hiếu cho hỏi, Mình mới tạo trang web bằng wordPress trên hostting làm sao để lưu lại Sourecode.
– Anh Hiếu hướng dẫn bảo mật web an toàn.
Cảm ơn
Chào bạn,
1. Để sao lưu mã nguồn WordPress, bạn có thể tham khảo bài viết: Hướng dẫn backup WordPress không cần dùng plugin hoặc sử dụng plugin.
2. Các bài viết hướng dẫn bảo mật WordPress, bạn có thể tham khảo tại đây.
Cảm ơn bạn.
Cái mã này Plugin API Key nó có thông báo khi nào dùng vậy hay bỏ đó thôi Hiếu?
Bạn chỉ cần tạo API Key 1 lần rồi bỏ đó. :P
Riêng với bản thân tôi, tôi đánh giá Sucuri Security cao hơn những plugin như Wordfence Security hay iThemes Security bởi sự nhẹ nhàng (không tốn nhiều tài nguyên, không gây lỗi web) nhưng không kém phần hiệu quả.
Tuy nhiên khi tải sucuri thì mình thấy nó chỉ có 30K người xài còn iThemes Security có tới 80K, tại sao nhỉ Hiếu?
Vậy cứ nhiều người dùng hơn là tốt hơn à bạn? :D Thời buổi nào rồi còn lựa chọn plugin dựa theo số lượt cài đặt? 1 plugin ra đời cách đây mấy năm và 1 plugin vừa ra đời cách đây mấy tháng thì sao? :P
Mình cũng sắp định cài Wordfence Security vì tin vào lượng người cài đặt, nhưng nghe theo lời bác hiếu cài Sucuri Security luôn, cứ làm theo hướng dẫn, bảo bật cái nào thì bật, k thì cũng chả biết. :D
Wordfence nặng hơn Sucuri nhiều. Nếu là shared host thì không nên cài Wordfence. :P
thật sự thì không muốn cài plugin chút nào. hiện web e đã có 11 cái plugins rồi hic. nhưng mà làm theo mấy bài với file .htaccess cứ lỗi hoài. chắc phải dùng thằng này quá T.T
11 thôi á? của mình 22 rồi, gấp đôi.
bác sài host gì vậy :P e sài host 12$ của godaddy cài nhiều plugin tốc độ load ọp ẹp lắm. còn không có DNS cloudflare nữa chứ :((
Mình sài hawk host, cũng thấy chậm nhưng cần thì cứ phải dùng…:D
Bạn thấy vào site của mình có chậm không? Mình cũng đang dùng HawkHost server Hong Kong đây. :P
11 cái là còn ít chán. Site của mình đang cài tận 19 cái này. Trong đó có những thằng “khủng bố” như Jetpack. :D
há há e không chơi so sánh vs wpcanban nha :P
mình bấm Generate API Key thì báo lỗi SUCURI: Unable to store event (dir error)
Thực ra Sucuri không cần API Key vẫn có thể hoạt động bình thường bạn nhé. Nên bạn có thể bỏ qua bước này cũng được.
cám ơn bạn
Những bài về bảo mật wp luôn được quan tâm. Cảm ơn bạn, bài viết thực sự hữu ích!